ESXi incluye un firewall que está habilitado de forma predeterminada. Durante la instalación, el firewall de ESXi se configura para bloquear el tráfico entrante y saliente, excepto el tráfico de los servicios que están habilitados en el perfil de seguridad del host.

Al abrir puertos en el firewall, tenga en cuenta que el acceso no restringido a los servicios que se ejecutan en un host ESXi pueden exponer un host a ataques externos y acceso no autorizado. Para reducir el riesgo, configure el firewall de ESXi para que permita el acceso solo desde redes autorizadas.

Nota: El firewall también permite pings del protocolo Control Message Protocol (ICMP) y la comunicación con los clientes DHCP y DNS (solo UDP).

Administrar la configuración del firewall ESXi mediante el VMware Host Client

Cuando inicia sesión en un host ESXi mediante el VMware Host Client, puede configurar conexiones de firewall entrantes y salientes para un servicio o un agente de administración.

Nota: Si hay distintos servicios con reglas de puerto superpuestas, al habilitar un servicio, es posible que se habiliten otros servicios de forma implícita. Para evitar este problema, se pueden especificar qué direcciones IP tienen permiso para acceder a cada servicio en el host.

Procedimiento

  1. Haga clic en Redes en el inventario de VMware Host Client.
  2. Haga clic en Reglas de firewall.
    VMware Host Client muestra una lista de conexiones activas entrantes y salientes con los correspondientes puertos de firewall.
  3. En algunos servicios, es posible administrar los detalles de servicio. Haga clic con el botón derecho en un servicio y seleccione una opción del menú emergente.
    • Utilice los botones Iniciar, Detener o Reiniciar para cambiar el estado de un servicio temporalmente.
    • Cambie la directiva de inicio para configurar el servicio de modo que este se inicie y se detenga con el host, los puertos de firewall o de forma manual.

Agregar direcciones IP permitidas a un host ESXi mediante VMware Host Client

De forma predeterminada, el firewall de cada servicio permite el acceso a todas las direcciones IP. Para restringir el tráfico, configure cada servicio para permitir el tráfico solo desde la subred de administración. También puede anular la selección de algunos servicios si el entorno no los usa.

Procedimiento

  1. Haga clic en Redes desde el inventario de VMware Host Client y, a continuación, haga clic en Reglas de firewall.
  2. Haga clic con el botón derecho en un servicio de la lista y haga clic en Editar configuración.
  3. En la sección Direcciones IP permitidas, haga clic en Solo permitir conexiones de las redes siguientes e introduzca las direcciones IP de las redes que desee conectar al host.
    Separe las direcciones IP con comas. Puede utilizar los siguientes formatos de dirección:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  4. Haga clic en Aceptar.